2fa-authenticationINFO

A MFA pode ser contornada? Como os atacantes vencem a 2FA em 2026 (e o que os detem)

Sim, a MFA comum pode ser contornada - 2026 registou um aumento de kits de phishing que roubam tokens de sessao em tempo real. Como os ataques adversary-in-the-middle vencem a MFA por SMS, app e push, e porque as passkeys sao resistentes ao phishing.

Por Eric Gerard · Editor · PwdFortress4 min de leituraPhoto: Pexels

A autenticacao multifator e um dos melhores habitos de seguranca que pode ter - por isso e inquietante ouvir que os atacantes estao a contorna-la. A resposta honesta a pergunta "a MFA pode ser contornada?" e sim, os tipos comuns podem - e em 2026 isto esta a acontecer em grande escala. Mas isso nao e razao para abandonar a MFA. E razao para perceber qual o tipo que esta a usar, porque a solucao e real e esta ao seu alcance.

O aumento de 2026

Os investigadores de seguranca relataram um forte crescimento de kits de phishing concebidos especificamente para derrotar a MFA. Kits de ferramentas com nomes como Tycoon 2FA e outros atuam como proxies em tempo real que capturam sessoes de login a medida que acontecem, e os relatos apontam para um salto enorme na atividade de phishing - da ordem de um aumento de 1.380% entre o final de 2025 e o inicio de 2026, impulsionado por kits baratos de "phishing-as-a-service" assistidos por IA que permitem a atacantes pouco qualificados conduzir campanhas convincentes. A barreira para contornar a MFA comum baixou, e por isso vale a pena entender isto agora.

Como os atacantes roubam a sua sessao (AiTM)

A principal tecnica e o phishing adversary-in-the-middle (AiTM), e a parte engenhosa e maligna e que a sua MFA funciona mesmo - o atacante apenas rouba o resultado.

Eis o fluxo. Clica num link e cai numa pagina de login falsa que e, na verdade, um proxy ao vivo para o site genuino. Digita a sua palavra-passe; o proxy encaminha-a. O site real pede o seu codigo MFA; digita-o, e o proxy encaminha-o tambem. Passa a verificacao - e o site real faz o que sempre faz: devolve um token de sessao, o cookie que o mantem autenticado. O proxy agarra esse token, e agora o atacante pode reutiliza-lo e entrar diretamente na sua conta, sem precisar de palavra-passe nem de codigo. A sua MFA cumpriu o seu papel; eles limitaram-se a intercetar a sessao que ela produziu.

Outras formas de vencer a MFA

O AiTM e o destaque, mas nao e o unico caminho:

  • Fadiga de push (bombardeamento de MFA): o atacante, que ja tem a sua palavra-passe, inunda o seu telefone com pedidos de aprovacao ate que voce toque em "aprovar" por habito ou irritacao.
  • SIM swapping: um atacante assume o controlo do seu numero de telefone e recebe os seus codigos SMS, e por isso a MFA por mensagem de texto e a mais fraca.
  • Phishing de codigo de dispositivo: e enganado para aprovar um inicio de sessao que, na verdade, esta a autorizar o dispositivo do atacante.

Peças de madeira que formam a palavra phishing. Os kits de phishing modernos nao roubam apenas palavras-passe - capturam a sessao depois de passar a MFA.
Peças de madeira que formam a palavra phishing. Os kits de phishing modernos nao roubam apenas palavras-passe - capturam a sessao depois de passar a MFA.

Porque as passkeys nao podem sofrer phishing

Esta e a boa noticia, e a verdadeira solucao. Uma passkey - construida sobre os padroes FIDO2 e WebAuthn - esta criptograficamente ligada ao dominio exato para o qual foi criada. Se um proxy de phishing o enviar para um site semelhante, a passkey nao autenticara, porque o dominio nao corresponde. Nao ha codigo para ler em voz alta, e nada para um proxy encaminhar. Essa ligacao ao dominio e precisamente o que o AiTM nao consegue contornar, e por isso as passkeys sao descritas como resistentes ao phishing, e por isso a Google, a Apple, a Microsoft e os bancos estao a empurrar as pessoas na sua direcao. O nosso guia sobre se as passkeys sao seguras aprofunda o tema.

O que fazer na pratica

  • Mantenha a MFA ativa em todo o lado. Ela ainda bloqueia a esmagadora maioria dos ataques - veja o que e a 2FA se precisar do basico.
  • Abandone o SMS onde puder. Prefira uma aplicacao de autenticacao ou uma chave de seguranca de hardware em vez de codigos por mensagem de texto.
  • Adote passkeys em todas as contas que as ofereçam. Esta e a maior melhoria contra o AiTM.
  • Nunca aprove um pedido que nao iniciou, e trate as paginas de login inesperadas com desconfianca. Isto e phishing comum com um gume mais afiado.
  • Use um gestor de palavras-passe. Ele preenche as credenciais apenas no dominio real, por isso, num site falso, o preenchimento automatico simplesmente nao aparecer e um aviso discreto mas fiavel.

Em resumo: sim, a MFA comum pode ser contornada, e em 2026 esta a ser contornada muitas vezes - mas a resposta nao e abandona-la. Mantenha a MFA ativa, largue o SMS e passe para as passkeys, que fecham a porta por onde o phishing adversary-in-the-middle passa.

Perguntas frequentes

A MFA pode ser contornada?

Sim - alguns tipos podem. As formas comuns de autenticacao multifator (codigos SMS, codigos de aplicacao de autenticacao e aprovacoes push) podem ser derrotadas pelo phishing moderno, e em 2026 os atacantes estao a faze-lo em grande escala. Mas isto nao significa que a MFA seja inutil: ela ainda bloqueia a esmagadora maioria dos ataques, sobretudo os que usam apenas a palavra-passe. O ponto chave e que nem toda a MFA e igual - a MFA comum pode ser contornada, enquanto a MFA resistente ao phishing (passkeys e chaves de seguranca de hardware) nao pode, porque esta ligada ao site real e nao pode ser retransmitida para um falso.

Como e que os hackers contornam a 2FA?

O principal metodo em 2026 e o phishing adversary-in-the-middle (AiTM). O atacante executa uma pagina de login falsa que atua como um proxy ao vivo para o site real. Introduz a sua palavra-passe e o seu codigo 2FA na pagina falsa, esta passa-os para o site real e, assim que passa a verificacao, o site real emite um token de sessao - que o proxy rouba. O atacante reutiliza esse token e fica autenticado sem precisar mais da sua palavra-passe ou do seu codigo. Outros metodos incluem a fadiga de notificacoes push (enviar pedidos de aprovacao ate que voce toque em sim) e o SIM swapping para intercetar os codigos SMS.

Isto significa que devo parar de usar a MFA?

Nao - continue a usa-la sem duvida. A MFA ainda impede a grande maioria dos roubos de conta, em particular os ataques automatizados que dependem de palavras-passe roubadas ou reutilizadas. Desliga-la deixa-o muito mais exposto, nao menos. A resposta certa e melhorar o tipo de MFA que usa: prefira aplicacoes de autenticacao ou chaves de hardware em vez do SMS, e passe para as passkeys sempre que estejam disponiveis, porque estas fecham a brecha que o phishing AiTM explora.

Porque e que as passkeys nao podem sofrer phishing?

Uma passkey (construida sobre FIDO2 e WebAuthn) esta criptograficamente ligada ao dominio exato do site para o qual foi criada. Se um atacante o enviar para um site falso semelhante, a passkey simplesmente nao respondera, porque o dominio nao corresponde - nao ha codigo para digitar e nada para um proxy retransmitir. Essa ligacao ao dominio e o que torna as passkeys resistentes ao phishing, e e por isso que os grandes fornecedores estao a empurrar toda a gente na sua direcao.

Como me protejo do contorno da MFA?

Use MFA em todo o lado, mas melhore-a: desative o SMS a favor de uma aplicacao de autenticacao ou chave de hardware, e adote passkeys em qualquer conta que as suporte (bancos, Google, Apple, Microsoft e mais). Nunca aprove um pedido de login que nao tenha iniciado pessoalmente, e desconfie de qualquer pagina de inicio de sessao inesperada. Um gestor de palavras-passe tambem ajuda: preenche o seu login apenas no dominio genuino, por isso, se cair num site falso de phishing, o preenchimento automatico simplesmente nao disparar e um sinal de aviso util.